Top > そんな所からrootにログイン出来ないぜ。

広告

*Slackware系 [#b12acfb2]
/etc/securettyを書き換えて、rootにログイン出来るのはコンソール(ローカルホスト)からだけにして、suを使おう。

console,ttyXを残して、後は消してしまおう。
一応、今までのはsecuretty-backとでもしておきましょう。

*RedHat(RPM)系 [#f4be5ab9]
/etc/security/access.confを書き換えて、おかしなところからログインできなくしましょう。
書き方は

permission : users : origins

となっていて、許可する時はpermissionの所を「+」、許可しない時は「−」にする。~
userの所はlogin名かグループ名。「ALL(全てのユーザー)」も使える。~
複数を羅列するときはspaceで区切る。~
最後の「origins」は、tty名(ローカルアクセスの場合)やホスト名、IPアドレス、ALL(全て)、LOCAL(ローカルアクセス全て)をいれる。
また、「EXEPT」というのをいれればその後に続く「origins」を除く事ができる。

例
wheel,shutdown sync以外のグループ(ユーザー)は、consoleから入れない。
 -:ALL EXCEPT wheel shutdown sync:console

ut-info.comと付くホストからのみ、rootにアクセスできる。
 -:root:ALL EXCEPT LOCAL .ut-info.com

ちなみに、何も設定していなければ誰でもどこからでもOKということ。

*基本は全て拒否といっても [#ie692e43]

 -:ALL:ALL

とやってはいけない(笑)。もし、サーバなら、

 -:ALL:ALL EXCEPT LOCAL .your.domain

ぐらいがお勧めか...

*SSHでも [#a3e7d0b9]
特定の場所からのみrootにログインできるようにする必要がある。~
あるいは、リモートからはログインできないようにしておく。

*なぜ、いいかと言うと、 [#c4608633]
たとえ、rootのパスワードが分かっても、侵入できないし、suするには、他のユーザーのパスワードも知らなくてはならない。
少し、面倒くさくなるだけでしょうが。

更に、/etc/groupのwheelのユーザーを指定することで、su出来るユーザーを限定出来ます。

ただ、この場合誰がrootのパスワードを知っているかが、侵入者に知られることになります。


#ad_banner(banner468x60.txt)

#ad_banner(custom1.txt)


広告

Reload   Diff   Front page List of pages Search Recent changes Backup Referer   Help   RSS of recent changes